في عصرنا الحالي، اعتدنا على ”قبول كل الشروط“، فأمست الثقة ردة فعل بدلًا من قرار واعٍ. فغالبًا ما نربط موثوقية التطبيق بمظهره؛ كالتصميم الأنيق، أو العلامة التجارية المألوفة، أو رمز القفل الصغير أعلى الصفحة. إذا بدا التطبيق احترافيًا، نميل إلى عدم التساؤل عمّا يحدث لبياناتنا عندما ننقُر على زر ”أوافق“.

ثمة اختلاف واضح بين ما تدّعيه البرمجيات وما تنفِّذه على أرض الواقع، وتزداد خطورة هذه الفجوة عند الحديث عن الخصوصية. إذ تبقى ادعاءات الخصوصية وعودًا فارغة إلى أن نتمكن من التحقُّق من مدى صحَّتها.

لا يكمن جوهر الخصوصية في مزايا التطبيق أو تجربة المُستَخدِم، بل في القدرة على التحقُّق من ادعاءات التطبيقات وفحصها، بما يسمح ببناء الثقة على أسس أكثر صلابة من الثقة العمياء.

قصور الخصوصية في الأنظمة مغلقة المصدر

معظم البرمجيَّات التي نعتمد عليها يوميًا مغلقة المصدر، كتطبيقات المراسلة والخدمات السحابية وأدوات زيادة الإنتاجية، أي أنّ الكود الذي يُحدِّد طريقة جمع البيانات ومعالجتها وتخزينها مخفي عن عيون المُستَخدِمين والمختصّين. فعندما تدّعي شركة ما أنها لا تقرأ مراسلات المستخدمين أو أنها لا تتتبَّعهم، ليست هنالك طريقة للتحقُّق من هذا الادعاء، إلى أن تفتح الشركة مصدر الكود للعامة. يُطلَب من المُستَخدِمين أن يثقوا بما لا يرونه، والثقة العمياء هشّة بطبيعتها.

وغالبًا ما يُبرَّر غياب الشفافية بحجة أنّ السرّية بحد ذاتها توفِّر الأمان؛ إذ يُفترَض أنّ البرمجيَّات مغلقة المصدر أكثر أمانًا لمجرد أنّ مكوِّناتها الداخلية مخفية عن عيون المتطفلين والمخترقين. لكن يجادل بولانجيه بأنّه لو كانت منهجية «الأمان من خلال الغموض» صحيحة، لكان عدد الثغرات التي يُبلَّغ عنها في الأنظمة مغلقة المصدر أقل من نظيراتها الحرة مفتوحة المصدر، إلّا أنّ البيانات المتاحة تثبت عكس ذلك. فلا تُشير البيانات الواقعية إلى مخاطر أعلى في البرمجيات مفتوحة المصدر، بل كثيرًا ما تُظهِر أنّها تحتوي على ثغرات أقل من نظيراتها مغلقة المصدر[1].

ومن الأمثلة الشهيرة على ميزة الأمان التي توفِّرها الشفافية حادثة «دودة موريس» التي ظهرَت في بدايات الإنترنت عام ١٩٨٨، وأصابت آلاف الأجهزة، أي ما قد يصل إلى ١٠٪ من إجمالي الأجهزة المُتَّصلة بالإنترنت آنذاك. وكان توفُّر الكود المصدري الأمر الذي سمح بالاستجابة السريعة، بحسب تحليل تفصيلي أجراه آيكن وروتشليس[2].

كما أنّ البرمجيَّات مغلقة المصدر تُطوَّر عادةً على يد مؤسَّسات تقودها دوافع ربحية، فتلجأ إلى التسويق أو تحليل البيانات. ويكفي التذكير بأن ما بدأ كمواقع تواصل اجتماعي تحوَّل، في ظلّ شركة «ميتا»، إلى منصّات إعلانية مُقنَّعة. ومن دون صلاحية الوصول إلى الكود المصدري، لا يستطيع المستخدمون أن يتحققوا من نوعية البيانات التي تُجمَع، أو من أسلوب التشفير المُستخدَم، أو من وجود آليات وصول خفية، ولا مما إذا كان الكود قد عُدِّل لزيادة الأرباح على حساب المُستخدِمين.

وكما أكَّد المعهد الوطني للمعايير والتقنية (نيست) منذ زمن طويل[3]، فإنّ «الأمن من خلال الغموض» خرافة. فإخفاء الثغرة لا يجعلها أكثر أمانًا، وإنما يُصعِّب على المدافعين من اكتشافها وإصلاحها قبل أن تُستَغَل.

كيف يُحوِّل المصدر المفتوح الخصوصية من ادّعاء إلى أمر يمكن التحقُّق من صحَّته

تتْبَع البرمجيَّات مفتوحة المصدر منهجية مختلفة للأمن والخصوصية. فبدلًا من أن تطالب المُستخدِمين بأن يثقوا ثقةً عمياء في الوعود أو العلامات التجارية، فإنها ترفع الستارة عن الكود. تسمح هذه الشفافية بأن ينظر الناس إلى الأسلوب الحقيقي التي توظِّفه التطبيقات للتعامل مع البيانات، ما يُحوِّل الخصوصية من مجرّد ادّعاء إلى أمر يمكننا أن نتحقَّق من صحَّته. وتكمن أهمية هذه المنهجية في أنها تعزّز الخصوصية بثلاث طرق رئيسية:

١. المراجعة العلنية للكود

عندما يكون الكود المصدري متاحًا للعامة، يمكن أن يُراجِعه عدد كبير من المساهمين على عكس الاعتماد كليًّا على فريق داخلي واحد. وغالبًا ما يُلخَّص هذا المفهوم بما يُعرف بـ«قانون لينوس»، الذي يَنص على أنه «إذا توفَّر عدد كافٍ من العُيون، تُحَّل كل العلل البرمجية». والفكرة بسيطة، يسهل اكتشاف العيوب عندما يتمكَّن عدد أكبر من الأشخاص من رؤية مداخل النظام ومخارجه مباشرة.

وتتقاطع هذه الفكرة مع الخصوصية إذ أنّ معظم مشكلاتها تنبع من الكود نفسه. فتَسرُّب البيانات، والتسجيل غير الضروري، والتشفير الضعيف، وجمع البيانات الوصفية، كلها نتائج لأساليب كتابة البرمجيَّات. في البرمجيَّات مغلقة المصدر، لا يمكننا أن نفحص هذه السلوكيات بالنظر، وهذا يدفع المُراجِعين إلى الاعتماد على اختبارات غير مباشرة وافتراضات حول طريقة عمل النظام.

وتُمكِّن المشاريع مفتوحة المصدر الآخرين من أن يتتبَّعوا مسار البيانات الشخصية داخل النظام، وأن يتحقَّقوا من صحة ادّعاءات الخصوصية. وبعد مرور الوقت، تتحوَّل هذه المراجعة المستمِرّة إلى آلية دائمة تُراقِب منهجية التعامل مع بيانات المستخدمين، وتتحقَّق من عمل البرمجيَّات من الناحية الوظيفية.

٢. تسريع إصلاح الثغرات الأمنية

غالبًا ما تستمر المخاطر التي تهدِّد الخصوصية حتى بعد اكتشاف الثغرة، إلى أن تُصلح. ففي الأنظمة مغلقة المصدر، يُترَك المُستخدِمون ينتظرون الشركات المطوِّرة لتكتشف المشكلة، ثم أن تعترف بوجودها، وأن تُقدِّر درجة الخطورة، قبل أن تُصدِر نسخة صالحة وفقًا لجداولها الزمنية الخاصة، التي تتأثر أساسًا بأولويات الشركة وقدراتها. وأثناء فترة الانتظار هذه، قد تظل البيانات الحساسة مكشوفة بينما ينظر المُستخدِمون إلى شاشاتهم دون حول ولا قوة.

تعمل المشاريع مفتوحة المصدر بطريقة مختلفة فعندما تُكتشَف مشكلة تتعلق بالخصوصية، قد تُناقَش الحلول علنًا، وقد تُختَبَر وتُشارَك دون أن يَنتظِر المُستخدِمون تدخُّلًا من شركة معينة. وهذا يُقلِّص المدة التي قد تتعرَّض أثناءها البيانات للتسريب أو سوء الاستخدام. فالإصلاحات الأسرع تصاحبها مدة زمنية أقل تكون فيها معلومات المُستخدِمين عُرضة للخطر[4].

وقد أظهر التاريخ أنّ الأنظمة المُغلَقة قد تُخفي انتهاكات للخصوصية لسنوات طويلة، ومن أشهر الأمثلة على ذلك برنامج التجسُّس «پيغاسوس»، الذي استغل ثغرات في أجهزة عديدة طوال سنوات دون أن يُكتشَف.

٣. المساءلة

لا وجود للخصوصية دون مساءلة. فإذا ادعى نظامٌ ما احترام خصوصية المستخدمين، يجب أن يَخضَع للمساءلة على طريقة تعامله مع البيانات.

وتُضيف البرمجيَّات مفتوحة المصدر الشفافية إلى هذه المسألة. ففي هذه البرمجيَّات، الكود والخيارات الأمنية وقرارات التصميم متاحة للآخرين للاطلاع عليها ومساءلتها، فتصبح عمليات التدقيق ممكنة، ويمكن الإشارة إلى المشكلات عندما لا يتصرّف البرنامج وفق ما يدّعيه. فالثقة لا تُبنى على وعود إلكترونية، بل على الوفاء بها. ومن دون الشفافية، يبقى سوء استخدام البيانات الشخصية مخفيًا، ومن دون المساءلة تتحوَّل الخصوصية إلى مجرّد ادّعاء.

الخلاصة

اختيار البرمجيَّات مفتوحة المصدر ليس قرارًا تقنيًا فحسب، بل قرار يغيّر طبيعة الثقة نفسها. فبدل أن يُطالَب المُستخدِمون بأن يثقوا بالوعود، يسمح لهم بالتحقُّق من الطريقة الفعلية لعمل البرمجيَّات. وإذا كانت أداة ما تتعامل مع رسائل شخصية، أو كلمات مرور، أو هويات أفراد، أو بيانات صحية، فمن حق المُستخدِمين أن يفهموا ماذا يحصل ببياناتهم الحساسة ولماذا.

ولا يقتصر استخدام البرمجيَّات مفتوحة المصدر على حماية البيانات، بل يعني اختيار أدوات تُمكِّننا من أن نرى ما وراء الستارة، وأن نطرح الأسئلة، وأن نحافظ على السيطرة فيما يتعلق بالتكنولوجيا التي نعتمد عليها. وعندما نتحدث عن الخصوصية الرقمية، فالشفافية ليست خيارًا إضافيًا، بل هي ما يجعل الخصوصية ممكنة من الأساس.

1. A. Boulanger, "Open-source versus proprietary software: Is one more reliable and secure than the other?," in IBM Systems Journal, vol. 44, no. 2, pp. 239-248, 2005. doi: 10.1147/sj.442.0239.

2. M. Eichin and J. Rochlis, ‘‘With Microscope and Tweezers: An Analysis of the Internet Virus of November 1988,’’ Proceedings of the 1989 IEEE Symposium on Security and Privacy, Oakland, CA, May 1–3, 1989, IEEE, New York (1989), pp. 326–343

3. NIST Special Publication 800-123. https://doi.org/10.6028/NIST.SP.800-123

4. Guido Schryen and Rouven Kadura. 2009. Open source vs. closed source software: towards measuring security. In Proceedings of the 2009 ACM symposium on Applied Computing (SAC '09). Association for Computing Machinery, New York, NY, USA, 2016–2023. https://doi.org/10.1145/1529282.1529731